/*! \page interesting_files_identifier_page Interesting Files Identifier (Identifiant de fichiers intéressant)

[TOC]


\section interesting_files_overview Aperçu

Le module "Interesting Files Identifier" vous permet de marquer automatiquement les fichiers et répertoires qui correspondent à un ensemble de règles. Cela peut être utile si vous devez toujours vérifier si des fichiers avec un nom ou un chemin donné se trouvent dans une source de données, ou si vous êtes toujours intéressé par des fichiers ayant un certain type.

Ce module vous permet de créer des ensembles de règles qui seront exécutées sur chaque fichiers au fur et à mesure de leur traitement. Si un fichier correspond à l'une des règles, vous verrez une entrée concernant celui-ci dans l'\ref tree_viewer_page. Vous pouvez partager vos règles avec d'autres utilisateurs et importer des ensembles créés par d'autres dans votre copie d'Autopsy.

\section interesting_files_terminology Terminologie

<ul>
<li>Le terme <b>"Rule"</b> correspond à un ensemble de conditions qui doivent être vraies pour un fichier afin qu'il corresponde à la règle. Toutes les conditions de la règle doivent être vraies. Par exemple, si une règle comporte des conditions "File Size > 1 MB" ("Taille du fichier > 1 Mo") et "File Extension = .txt" ("Extension du fichier = .txt"), seuls les fichiers qui correspondent aux deux conditions seront considérés comme une correspondance.
<li>Le terme <b>"Rule Set"</b> correspond à un ensemble de règles. Si un fichier correspond à une règle de l'ensemble de règles, il sera marqué comme étant une correspondance pour cet ensemble de règles. Les ensembles de règles peuvent être activés et désactivés au moment de l'acquisition.
</ul>

\section interesting_files_config Configuration

Pour créer et modifier vos ensembles de règles, allez dans "Tools", "Options" puis sélectionnez l'onglet "Interesting Files". La zone sur le côté gauche vous montrera une liste de tous les ensembles de règles actuellement disponibles. Cela inclura les ensembles de règles officiels inclus avec Autopsy ainsi que tous les ensembles de règles que vous créez. La sélection d'un ensemble de règles affichera sa description et des informations sur chacune de ses règles sur le côté droit du panneau.

\image html InterestingFiles/main.png

Les boutons situés en bas à gauche du panneau contrôlent les ensembles de règles.

<ul>
<li><b>New Set</b> - Vous permet de créer un nouvel ensemble de règles (les règles seront ajoutées ultérieurement). Vous verrez une nouvelle fenêtre demandant le nom du nouvel ensemble de règles, une description facultative et si les fichiers connus doivent être ignorés (c'est-à-dire, si un fichier est dans le NSRL, il n'apparaîtra pas dans la liste des correspondances même s'il satisfait aux conditions de l'une des règles de l'ensemble).
\image html InterestingFiles/new_rule_set.png 
<li><b>Edit Set</b> - Ouvre la même fenêtre que "New Set" et vous permet de modifier l'un des champs.
<li><b>Delete Set</b> - Supprime l'ensemble de règles sélectionné
<li><b>Copy Set</b> - Crée une copie de l'ensemble de règles sélectionné. Cela fera apparaître la même fenêtre que "New Set". Vous devez modifier le nom de l'ensemble de règles pour enregistrer la copie.
<li><b>Import Set</b> - Importe un ensemble de règles précédemment exporté. Une fois importé, vous n'aurez pas besoin de la copie originale.
<li><b>Export Set</b> - Exporte l'ensemble de règles sélectionné dans un format qui peut être partagé avec d'autres utilisateurs d'Autopsy.
</ul>

Notez que les ensembles de règles prédéfinis ne peuvent pas être supprimés ou modifiés. Si vous pensez à des ajouts qui seraient utiles pour la communauté, consultez la page \ref update_interesting_files_page pour obtenir les instructions pour soumettre des mises à jour.

La sélection d'un ensemble de règles affichera sa description, s'il ignore les fichiers connus et les règles contenues dans l'ensemble. La sélection d'une règle affichera les conditions de cette règle dans la section "Rule Details".

Les boutons sous la liste des règles vous permettent de créer de nouvelles règles et de modifier ou supprimer des règles existantes. Sélectionner "New Rule" fera apparaître une nouvelle fenêtre pour créer une règle.

\image html InterestingFiles/new_rule.png 

La ligne du haut vous permet de choisir si vous voulez faire correspondre uniquement des fichiers ("Files"), uniquement des répertoires ("Directories") ou les deux ("All"). Si vous sélectionnez des répertoires ou les deux, certains types de conditions ne seront pas disponibles car ils ne s'appliquent qu'aux fichiers.

Chaque règle doit avoir au moins une condition. Pour créer des conditions, cochez la case à gauche de la condition que vous souhaitez activer. Ce qui suit est une description de chaque condition, avec quelques exemples complets.

<ul>
<li><b>Name</b> - Entrez soit le nom complet du fichier ("Full Name") soit une ou plusieurs extensions ("Extension Only"), et sélectionnez s'il s'agit d'une correspondance exacte ou d'une sous-chaîne de caractères/expression régulière ("Substring/Regex"). Si la correspondance "Substring/Regex" est activée, elle ajoutera automatiquement des caractères génériques au début et à la fin du texte. Si vous ne faites correspondre que des répertoires, cela correspondra au nom du répertoire. Si vous utilisez une liste d'extensions séparées par des virgules, assurez-vous que la case à cocher "Substring/Regex" est désactivée - tout le contenu sera interprété comme une expression régulière lorsque la case est cochée. Le tableau suivant montre quelques exemples d'utilisation des différentes combinaisons.

<table>
<tr><th>Type</th><th>Substring/Regex</th><th>Texte</th><th>Description</th><th>Exemple de correspondance</th></tr>
<tr><td>Full Name</td><td>faux</td><td>\verbatim test.txt \endverbatim</td><td>Correspondra aux fichiers nommés "test.txt"</td><td>text.txt</tr>
<tr><td>Full Name</td><td>vrai</td><td>\verbatim bomb \endverbatim</td><td>Associera les fichiers avec "bomb" à n'importe quel endroit de leur nom</td><td>Pipe_bomb.png</td></tr>
<tr><td>Full Name</td><td>vrai</td><td>\verbatim virus.*\.exe \endverbatim</td><td>Correspondra aux fichiers avec "virus" suivi de ".exe" à n'importe quel endroit de leur nom</td><td>bad_virus.exe</td></tr>
<tr><td>Extension Only</td><td>faux</td><td>\verbatim zip \endverbatim</td><td>Correspondra aux fichiers .zip</td><td>myArchive.zip</td></tr>
<tr><td>Extension Only</td><td>faux</td><td>\verbatim zip,rar,7z \endverbatim</td><td>Correspondra aux fichiers .zip, .rar, et .7z files</td><td>anotherArchive.rar</td></tr>
<tr><td>Extension Only</td><td>vrai</td><td>\verbatim jp \endverbatim</td><td>Correspondra aux fichiers .jpg, .jpeg, et tous les autres ayant "jp" dans l'extension</td><td>myImage.jpg</td></tr>
</table>

<li><b>Path Substring</b> - Entrez un nom de dossier qui doit faire partie du chemin du fichier pour qu'il corresponde. Si vous souhaitez uniquement spécifier un mot apparaîssant quelque part dans le chemin, utilisez l'option regex.
<table>
<tr><th>Regex</th><th>Texte</th><th>Description</th><th>Exemple de correspondance</th></tr>
<tr><td>faux</td><td>\verbatim Documents \endverbatim</td><td>Correspond à n'importe quel fichier qui a un dossier nommé "Documents" dans son chemin</td><td>/folder1/Documents/fileA.doc</td></tr>
<tr><td>vrai</td><td>\verbatim bomb \endverbatim</td><td>Correspond à n'importe quel fichier qui a "bomb" dans son chemin</td><td>/folder1/bomb making/file2.doc</td></tr>
<tr><td>vrai</td><td>\verbatim Users/.*/Downloads \endverbatim</td><td>Correspond à n'importe quel fichier qui a "Users" et "Downloads" dans son chemin</td><td>C:/Users/user1/Downloads/myFile.txt</td></tr>
</table>

<li><b>MIME Type</b> - Utilisez la liste déroulante pour sélectionner un type MIME. Un seul type MIME peut être sélectionné.

<li><b>File Size</b> - Indiquez si vous souhaitez faire correspondre des fichiers de taille égale, inférieure ou supérieure à une taille donnée. 

<li><b>Modified Within</b> - Sélectionnez la date à laquelle un fichier doit avoir été modifié pour correspondre à la règle.
</ul>

Enfin, vous pouvez éventuellement saisir un nom pour la règle. Cela sera affiché dans l'interface utilisateur pour chaque correspondance.

\subsection interesting_files_examples Exemples
Voici quelques exemples de règles en cours de création.

C'est une règle qui correspond à tout fichier avec "bomb" dans le nom qui a également un type MIME "image/png".

\image html InterestingFiles/bomb_png.png 

Il s'agit d'une règle qui correspond aux dossiers nommés "Private".

\image html InterestingFiles/private_folder.png
 
Cette règle recherche les archives dans le répertoire de téléchargement de l'utilisateur. Elle nécessite "Users" et "Downloads" dans le chemin du fichier, ainsi qu'une extension .zip, .rar ou .7z.
 
\image html InterestingFiles/download_archive.png

Il s'agit d'une règle qui correspond aux fichiers d'une taille d'au moins 50 Mo qui ont été modifiés la semaine dernière.

\image html InterestingFiles/new_large_files.png

\section interesting_files_running Exécution du module

Lors du paramétrage, vous pouvez sélectionner les ensembles de règles que vous souhaitez exécuter sur votre source de données.

\image html InterestingFiles/ingest.png

\section interesting_files_results Affichage des résultats

Les fichiers qui correspondent à l'une des règles des ensembles de règles activés seront affichés dans la section Results de l'\ref tree_viewer_page sous "Interesting Items", puis sous le nom de l'ensemble de règles correspondant. Notez que d'autres modules en plus de "Interesting Files Identifier" placent leurs résultats dans cette section de l'arborescence, il peut donc y avoir plus d'éléments que ceux qui correspondent à vos ensembles de règles. Sélectionner le nœud "Interesting Files" sous l'un de vos ensembles de règles affichera tous les fichiers correspondants dans la \ref result_viewer_page.

\image html InterestingFiles/results.png

Vous pouvez voir quelle règle correspond dans la colonne "Category". Vous pouvez exporter tout ou partie des fichiers pour une analyse plus approfondie. Pour ce faire, utilisez d'abord la méthode standard de sélection de fichier sous Windows afin de mettre en évidence les fichiers que vous souhaitez exporter via la \ref result_viewer_page :
<ul>
<li>Maintenez la touche Ctrl enfoncée et cliquez sur chaque fichier que vous souhaitez exporter
<li>Maintenez la touche Maj enfoncée pour sélectionner une plage de fichiers
<li>Cliquez sur n'importe quel fichier dans la visionneuse de résultats, puis appuyez sur Ctrl+A pour sélectionner tous les fichiers
</ul>
Une fois que vous avez sélectionné les fichiers souhaités, faites un clic-droit et sélectionnez "Extract Files" pour en enregistrer une copie.

*/
Type	Substring/Regex	Texte	Description	Exemple de correspondance
Full Name	faux	\verbatim test.txt \endverbatim	Correspondra aux fichiers nommés "test.txt"	text.txt
Full Name	vrai	\verbatim bomb \endverbatim	Associera les fichiers avec "bomb" à n'importe quel endroit de leur nom	Pipe_bomb.png
Full Name	vrai	\verbatim virus.*\.exe \endverbatim	Correspondra aux fichiers avec "virus" suivi de ".exe" à n'importe quel endroit de leur nom	bad_virus.exe
Extension Only	faux	\verbatim zip \endverbatim	Correspondra aux fichiers .zip	myArchive.zip
Extension Only	faux	\verbatim zip,rar,7z \endverbatim	Correspondra aux fichiers .zip, .rar, et .7z files	anotherArchive.rar
Extension Only	vrai	\verbatim jp \endverbatim	Correspondra aux fichiers .jpg, .jpeg, et tous les autres ayant "jp" dans l'extension	myImage.jpg
Regex	Texte	Description	Exemple de correspondance
faux	\verbatim Documents \endverbatim	Correspond à n'importe quel fichier qui a un dossier nommé "Documents" dans son chemin	/folder1/Documents/fileA.doc
vrai	\verbatim bomb \endverbatim	Correspond à n'importe quel fichier qui a "bomb" dans son chemin	/folder1/bomb making/file2.doc
vrai	\verbatim Users/.*/Downloads \endverbatim	Correspond à n'importe quel fichier qui a "Users" et "Downloads" dans son chemin	C:/Users/user1/Downloads/myFile.txt